Quantità di operazioni semplici che sono al sicuro fuori dalla portata di tutta l'umanità?

Come punto di partenza, considereremo che ogni operazione elementare implica una spesa minima di energia; Il principio di Landauer imposta tale limite a 0,0178 eV, che è 2,85 × 10 ^-21 J D'altra parte, la massa totale del sistema solare, se convertita nella sua totalità in energia, produrrebbe circa 1,8 × 10 ⁴⁷ J (in realtà è ciò che otterresti dalla massa del Sole , secondo questa pagina , ma il Sole prende la parte del leone della massa totale del sistema solare) . Ciò implica un limite rigido di circa 6,32 × 10 ⁶⁸ calcoli elementari, che è di circa 2 ^225.2 . (Penso che questo calcolo sia già stato presentato da Schneier in "Applied Cryptography".)

Naturalmente questo è uno scenario abbastanza estremo e, in particolare, non abbiamo idea di come convertire la massa in energia: la fissione nucleare e la fusione convergono solo una piccola parte della massa disponibile per l'energia.

Diamo un'occhiata a una prospettiva più banale. Sembra giusto presumere che, con la tecnologia esistente, ogni operazione elementare debba in qualche modo implicare la commutazione di almeno una porta logica. La potenza di commutazione di un singolo CMOS gate riguarda C × V ² dove C è la capacità del carico di gate e V è la tensione a cui opera il gate. A partire dal 2011, un gate di fascia alta sarà in grado di funzionare con una tensione di 0,5 V e una capacità di carico di pochi femtofarad ("femto" che significa 10 ^-15 ). Ciò comporta un consumo energetico minimo per operazione non inferiore a, diciamo, 10 ^-15 J. L'attuale consumo energetico mondiale totale è di circa 500 EJ (5 × 10 ²⁰ J) all'anno (o così dice questo articolo ). Supponendo che la produzione totale di energia della Terra venga deviata a un singolo calcolo per dieci anni, otteniamo un limite di 5 × 10 ³⁶ , che è vicino a 2 ¹²² .

Quindi devi tener conto dei progressi tecnologici. Data la tendenza attuale a preoccupazioni ecologiche e il picco del petrolio , la produzione totale di energia non dovrebbe aumentare molto negli anni a venire ( dire non più di un fattore 2 fino all'anno 2040 - già l'incubo di un ecologista). D'altra parte, vi è un progresso tecnologico nella progettazione di circuiti integrati. La legge di Moore afferma che è possibile adattare il doppio dei transistori su una data superficie del chip ogni due anni. Una visione ottimistica molto è che questo raddoppiamento del numero di transistor può essere fatto a consumo energetico costante, il che si tradurrebbe in un dimezzamento del costo energetico di un'operazione elementare ogni due anni. Ciò porterebbe a un totale complessivo di 2 ¹³⁸ nell'anno 2040 - e questo è per un singolo calcolo di dieci anni che mobilita tutti le risorse dell'intero pianeta.

Quindi la solita saggezza di "128 bit sono più che sufficienti per i prossimi decenni" non è off (tutto dipende da ciò che considereresti "sicuro" fuori dalla portata, ma il mio livello di paranoia è abbastanza sereno con 128 bit "solo").

Una nota sui computer quantistici: un QC può fare molto in una singola "operazione". La solita presentazione è che il CQ esegue "più calcoli simultaneamente, che filtriamo alla fine". Questa affermazione è errata in molti particolari, ma contiene ancora un po 'di verità: un CQ dovrebbe essere in grado di attaccare la crittografia simmetrica n (ad esempio la crittografia simmetrica con n -bit chiave) in 2 ^{n / 2} operazioni quantistiche elementari. Da qui il classico trucco: per rendere conto dei computer quantistici (se mai esistono), raddoppia la lunghezza della chiave. Quindi AES con una chiave a 256-bit, SHA-512 ... (la chiave a 256-bit di AES non è stata progettata per proteggere da ipotetici computer quantistici, ma è così che le chiavi a 256-bit vengono giustificate oggigiorno).

Note: the actual simple operations used are not relevant here - they might be operations on a quantum computer, or hash invocations, or whatever.

Bene, un computer quantistico è la ragione per cui nessuno può dirti "la quantità di semplici operazioni che possono essere ovviamente considerate fuori dalla portata di tutta l'umanità per il prossimo futuro". Per definizione un computer quantistico esegue l'opposto di "effettive semplici operazioni"; consente di bypassare una parte considerevole dello spazio della "semplice operazione" attraverso il gioco di prestigio quantistico. Una volta che il computer che aggira porzioni di questo spazio operativo semplice esiste, allora la tua domanda su "quanto grande deve essere lo spazio" diventa imprevedibilmente irrilevante.

Questa è la teoria, comunque. Non abbiamo raggiunto il livello del futuro in cui i computer quantistici possono fare ciò che pensiamo dovrebbero essere in grado di fare. Anche se mi sento a mio agio nel dire che un computer quantistico simile esiste e non esiste in una scatola da qualche parte.

Una cosa recente da aggiungere qui che probabilmente è pertinente alla domanda è che il Principio di Landauer potrebbe non reggere:

link

They measured the amount of energy dissipated during the operation of an "OR" gate (that is clearly a logically irreversible gate) and showed that the logic operation can be performed with an energy toll as small as 5 percent of the expected limit of kBT ln2. The conclusion of the Nature Communications article is that there is no fundamental limit and reversible logic is not required to operate computers with zero energy expenditure.

Why did it take so long to discover this? Partly because the experiment had to achieve exceptional sensitivity in order to show that the Landauer limit could be beaten: more than 10 to 21 Joule, where 1 Joule is the energy that it takes to raise an apple one meter above the ground. This is a very small amount of energy.

Anche se mi piace molto la risposta di @ thomas-pornin, penso che ci sia un problema con il primo assunto che deve essere richiamato.

Il principio di Laundauer si applica solo alle operazioni irreversibili.

Contrariamente a quanto si può ipotizzare, il calcolo reversibile è già realizzabile. Le operazioni sono comuni nei computer quantistici e nei sistemi di crittografia omomorfica.

Più in particolare, un algoritmo hash può utilizzare un'operazione come XOR per mescolare due bit e distruggere le informazioni su cui era 1 e che era 0, ma un CNOT (wiki) come in un Fredkin Gate è un equivalente reversibile che produce il risultato XOR e un bit di controllo distintivo. Se tali dati vengono conservati, l'operazione può essere annullata, liberamente. Se invece viene distrutto lasciando solo lo XOR, si applica il Principio di Landauer.

Come altri hanno indicato, il calcolo quantico sta cambiando le cose, ma è perché usa i gate CNOT invece di XOR con i qubit, lasciando i bit di controllo intorno per preservare lo stato di sovrapposizione quantica ed eseguire l'operazione senza spendere il costo di Landauer per distruggerlo .

Di conseguenza, se gli stati di output sono compressi, i bit dell'hash (ad esempio) distrutti, con un costo energetico, per abbinare l'output noto, non è necessario alcun costo aggiuntivo per calcolare l'input, oltre a verificare il valore di ciascun bit.

In minima parte, ciò dovrebbe richiedere almeno la quantità di bit nell'hash e almeno il numero di bit nei dati di input. Per un determinato algoritmo di hash, il calcolo del digest per un blocco può richiedere molte più operazioni XOR / CNOT rispetto ai dati stessi, questi dovrebbero essere tutti aggiunti.

Per un SHA-256 (wiki) di 1 Gigabit, That's 256 bit dell'hash output, 1 Gigabit di input, e 16 e / add / xor operazioni su ciascuna parte a 32 bit del blocco da 512 bit, più 8 ulteriori 32 bit per piegare il valore corrente; o 33Kbits.

Se hai ~ 2Terabit di archiviazione dati in qubit e il ~ 10 ^-15 J per bit per impostare il problema e interrogare lo stato, puoi invertire l'hash.

Bene, non del tutto inverso. Puoi trovare il set di tutti gli input da 1 gigabit che producono quell'hash di output e iniziare a spendere più per bit per sceglierne uno.

A seconda delle esigenze di sicurezza, una collisione potrebbe essere sufficiente.

(EDIT) Recentemente, i ricercatori hanno pubblicato un'operazione primitiva non reversibile che richiede meno del limite citato, implicando errore nei calcoli originali.